Политика конфиденциальности
Почему политика конфиденциальности важна прямо сейчас
Прежде чем войти в Alibase, вам нужно 5 минут, чтобы убедиться в одном: ваши данные в безопасности и не будут проданы третьим лицам. Это не просто формальность, которую можно пролистать за две секунды.
За последние несколько лет случаев массовой кражи данных стало больше. Крупные утечки происходят не только у маленьких стартапов — страдают и Facebook, и Google, и WhatsApp. Каждый раз пользователи узнают о проблеме постфактум, когда данные уже в чужих руках. Это создаёт обоснованное недоверие к любому новому сервису.
Вот честный разбор политики конфиденциальности Alibase — что компания собирает, как это хранит и кому может передать. Статья написана для трёх групп читателей: для тех, кто только узнал о сервисе и боится за приватность; для активных пользователей и IT-специалистов, которые хотят разобраться в деталях; и для юридических команд, которые убеждаются в соответствии законам.
Почему это нужно знать? Потому что даже при всех гарантиях на сайте защита данных остаётся вашей ответственностью. Если вы понимаете, как Alibase обрабатывает информацию, вы сможете принять осознанное решение — пользоваться сервисом или нет. И если что-то пошло не так, вы будете знать, на какие законы опираться.
Никакой прячет маслицо — вот реальная ситуация. Alibase собирает персональные данные, потому что без них не может работать. Но делает это прозрачно и в рамках закона. О том, как именно, читайте дальше.
Прозрачность — это не маркетинговый ход. Это основание для доверия к компании. Когда Alibase честно говорит о том, какие данные она берёт и почему, когда объясняет в простом языке, что происходит с информацией — это сильный сигнал. На практике это означает, что у компании есть нечего скрывать. Каждый пользователь должен понимать, на что он согласен при регистрации и какой просмотрщик инструментов для защиты прав у него есть в руках.
Какие данные собирает Alibase и почему
Когда вы регистрируетесь в Alibase, платформа запрашивает несколько обязательных параметров. Это email адрес, пароль и имя пользователя. Без этого аккаунт создать невозможно — именно эти параметры идентифицируют вас в системе. Email нужен, чтобы отправлять уведомления, письма восстановления пароля и важную информацию о безопасности. Имя — чтобы вас было удобно узнавать в интерфейсе и отличать от других пользователей.
Кроме обязательных данных есть опциональные параметры. Это информация, которую вы заполняете по собственному желанию: номер телефона, дату рождения, физический адрес, сведения о компании, если вы бизнес-пользователь. Они помогают Alibase улучшить сервис — например, отправлять СМС с важными уведомлениями, если вы дали согласие на эту рассылку.
IP адрес собирается автоматически при каждом входе в аккаунт. Это нужно для защиты от несанкционированного доступа и предотвращения взломов. Если кто-то попытается войти в ваш аккаунт с неизвестного IP с другой страны, система может заблокировать вход и попросить подтверждение вашей личности. На практике это значит, что если ваш пароль украдут, злоумышленник не сможет просто войти в аккаунт — система это заметит и вас предупредит.
Метаданные — это скрытая информация о ваших действиях в пределах платформы. Когда вы загружаете файл в Alibase, система записывает время загрузки, размер файла, тип устройства, название браузера. Это не ваше имя и не содержимое документа — это только технические параметры. Зачем собирают такую информацию? Чтобы отлавливать попытки взлома (если кто-то скипирует все файлы разом — это выглядит странно) и чтобы улучшать стабильность сервиса, исправлять баги и оптимизировать производительность.
Согласие — вот главное слово, которое определяет всю работу и обработку сведений. Alibase не собирает ничего, если вы не дали на это согласие в явной форме. При регистрации система просит явное согласие на обработку ваших персональных данных. Если вы используете двухфакторную аутентификацию по SMS — это отдельное согласие. Если подписались на рассылку маркетинговых писем — ещё одно. Вы всегда можете отозвать согласие, и компания обязана это уважать и прекратить обработку.
Alibase НЕ собирает и НЕ передаёт третьим лицам чувствительные категории данных: биометрические данные (отпечатки пальцев, сетчатку глаза), данные о здоровье, политические взгляды, сексуальную ориентацию, расовое происхождение. Это называется особенно охраняемые персональные данные, и закон их защищает особо строго. Компания осознаёт риски и просто не запрашивает эту информацию.
Что происходит с персональными данными после удаления аккаунта? Alibase физически удаляет все ваши данные в течение 30 дней после запроса на удаление. Исключение — информация, которую компания обязана хранить по закону (например, налоговые отчёты и финансовые справки за несколько лет). Но это не ваши персональные сведения, это в основном подп бэкграунд статистика и документы компании.
Дети до 13 лет не могут создавать аккаунты в Alibase согласно требованиям закона. Если компания обнаружит, что ребёнок зарегистрирован, она удалит данные сразу же. Это требует закон о защите детей в интернете. Для пользователей от 13 до 18 лет действуют дополнительные ограничения — законные представители должны дать согласие на обработку данных несовершеннолетнего.
Какие персональные данные собирает Alibase в сравнении с конкурентами? Google и Facebook используют поведенческие данные — они отслеживают, какие сайты вы посещаете вне их платформ, что смотрели, на что кликали, куда переходили по ссылкам. Это нужно для целевой рекламы и монетизации. WhatsApp шифрует личные сообщения конец-в-конец, но компания Мета (владелец) может видеть метаданные: кто с кем пишет, когда, как часто. Alibase не делает ни того, ни другого. Сбор информации сконцентрирован только на переданной вами информации, не на ваше поведение и привычки за пределами платформы.
Как Alibase защищает данные и где их хранит
На практике вот что это означает защита данных. Когда вы вводите пароль, он не передаётся в открепленном виде ни по сети, ни на серверы Alibase. Вместо этого применяется хеширование — это математический процесс, который превращает пароль в случайный набор символов. На серверах компании хранится только хеш пароля, не сам пароль в открытом виде. Даже если базу данных скачают и распакуют, узнать ваш пароль невозможно.
Шифрование между браузером и сервером Alibase идёт по протоколу TLS 1.2 и выше. Это означает, что во время передачи информации данные зашифрованы с помощью криптографических ключей, которые только ваш компьютер и сервер Alibase знают. Даже если интернет-провайдер захочет перехватить передачу, он увидит только абракадабру и случайные символы. На конкретный пример: если вы вводите номер карты (в будущих версиях), путь от браузера до сервера полностью защищен TLS протоколом.
Персональные данные на серверах Alibase защищены шифрованием AES-256. Это один из самых надёжных алгоритмов шифрования, который используют армии, спецслужбы и крупнейшие корпорации для защиты секретов. По сути, это означает, что даже если кто-то физически украдёт диск с данными — прочитать информацию он не сможет без ключа дешифрования. Ключ хранится отдельно от серверов в защищённом хранилище.
Доступ к серверам защищён многоуровневой аутентификацией и системой прав. Сотрудник Alibase не может просто взять и просмотреть все данные всех пользователей. Есть система прав доступа: кто-то из сотрудников может видеть только логи ошибок, кто-то — только техническую статистику по регионам, кто-то занимается дежурством. Доступ логируется и записывается — фиксируется, кто, когда и к чему обратился. Если кто-то попытается посмотреть ваши данные без причины, это сразу заметят и проверят.
Где физически находятся серверы? Alibase использует распределённые центры обработки данных, расположенные в России, Европе и Азии в стратегически важных местах. Это сделано намеренно: если один центр обработки выйдет из строя (благодаря кибератаке, природному стихийному бедствию, пожару, отключению электричества), данные остаются безопасно в других местах. Для европейских пользователей информация хранится на европейских серверах в соответствии с требованиями GDPR. Для российских — на российских серверах согласно ФЗ-152.
Резервные копии — это запасные копии всех данных и информации, которые Alibase создаёт несколько раз в день с интервалом в несколько часов. Если основной сервер сломается или будет компрометирован, компания может восстановить данные пользователей из резервной копии. Резервные копии хранятся в изолированной системе, защищённой так же, как основные серверы, но с дополнительным слоем криптографического шифрования для максимальной безопасности.
Аудит безопасности платформы проводится не менее двух раз в год независимыми специалистами. Это означает, что внешние эксперты проверяют, нет ли в системе уязвимостей и щелей для взлома. Результаты аудита частично публикуются на сайте (без раскрытия уязвимостей, которые ещё не закрыли, чтобы не дать лишнюю информацию злоумышленникам). Это неудобно для компании — лучше скрывать сложные проблемы. Но Alibase предпочитает честность и прозрачность перед своей аудиторией.
Что находится вне контроля Alibase и компании? Интернет-провайдер может видеть, что вы зашли на домен Alibase, но не может видеть, какие конкретные данные вы там вводили благодаря шифрованию. Операционная система вашего устройства (Windows, macOS, Linux, iOS, Android) может быть скомпрометирована вирусом или шпионским ПО, и тогда пароль украдут ещё до передачи на серверы. Поэтому используйте антивирус и регулярно обновляйте систему безопасности.
Если вы введёте номер карты в незащищённом месте или сообщите пароль в личном сообщении — никакое шифрование Alibase вас не спасёт. Ответственность за сохранность тайне пароля лежит на пользователе. Используйте менеджер паролей (например, 1Password, LastPass или встроенный в браузер), чтобы не запоминать пароли в голове и не использовать одинаковый пароль на разных площадках.
Ваши права на данные и как их использовать
В современных законах о защите персональных данных есть четыре главных права пользователя. Первое — право на доступ к информации. Это означает, что вы можете попросить Alibase выдать все данные, которые компания хранит о вас. Компания обязана ответить в течение 30 дней. На практике это работает так: вы идёте в раздел «настройки» → «личные данные» → «скачать мои данные». Система выдает архив с email, IP адресами, логами входа, метаданными ваших загруженных файлов.
Второе право — право на удаление индивидуальных данных, которое часто называют правом быть забытым. Вы можете потребовать стереть все ваши персональные данные из системы. Но есть исключения и ограничения. Если у Alibase есть юридическое основание хранить информацию (например, вы задолжали деньги или совершили нарушение условий использования), компания может отказать в удалении. Если исключений нет, Alibase удалит данные в течение 30 дней. После удаления ваши персональные данные нельзя восстановить.
Третье право — право на коррекцию и исправление ошибочных данных. Если вы обнаружили, что в ваших данных есть неточность (неправильный email, неверная дата рождения, опечатка в имени), вы можете исправить это сами в настройках профиля. Если исправить самостоятельно нельзя, пишете формальный запрос в поддержку. Alibase обязана проверить данные и внести корректировку в течение 30 дней. Это важно, потому что неверные данные — это ошибки в уведомлениях и некорректная работа сервиса.
Четвёртое право — право на экспорт и перенос данных. Вы можете попросить Alibase дать вам ваши данные в машиночитаемом и общем формате (CSV, JSON, XML). Это нужно, если вы решили уйти на другой сервис и не хотите потерять историю и информацию. Компания выдаёт данные за 30 дней в формате, который легко импортировать куда угодно.
Отказ от маркетинга — отдельное и очень важное право пользователя. Если вы подписались на рассылку маркетинговых писем и промо-контента, вы можете отписаться в любой момент без объяснений. В каждом письме есть кнопка «отписаться от маркетинга». После клика на неё Alibase удалит вас из списка рассылки. И больше маркетинговых писем не будет.
Запрос на доступ к данным делать легко и просто. Вы заходите в настройки аккаунта, ищете раздел «конфиденциальность и безопасность» и нажимаете кнопку «запросить мои данные». Система уведомляет вас на email и начинает готовить архив. Через несколько часов (но не дольше 30 дней) архив готов к скачиванию. Вы скачиваете его и видите все, что Alibase знает о вас в своей базе.
Что входит в экспортированные персональные данные? Профильная информация (email, имя, дата рождения, номер телефона, адрес), история входов (когда вы заходили, с какого IP адреса и устройства), активность (какие действия вы совершали в приложении, когда), коммуникация (все письма, которые вам отправляла Alibase). Не входят чувствительные данные вроде паролей и ключей восстановления, которые хранятся в защифрованном виде.
Срок ответа на запрос — 30 дней по закону. Это не срок выполнения, это плановый срок, в течение которого Alibase должна хотя бы ответить на ваш запрос. На практике компания старается ответить за 3-5 дней. Если запрос сложный (например, вы просили дать данные в необычном формате или требуется уточнение), Alibase может потребовать доказательство вашей личности.
Если Alibase отказала в вашем запросе без причин, вы можете подать жалобу на регулятора. В России это Роскомнадзор, в Европе — национальный орган защиты данных вашей страны. Это долгий процесс, но он есть и работает. На данный момент в условиях международной ситуации Alibase соответствует как российскому законодательству, так и требованиям GDPR (для европейских пользователей).
Соответствие законам и как нас контролировать
GDPR (Общее положение об охране данных) — это европейский закон, принятый в 2018 году и начавший действовать с 2019. Он требует от компаний, которые работают с европейцами, выполнять конкретные условия: собирать данные только с согласия, предоставлять доступ к данным, удалять по запросу. Alibase полностью соответствует GDPR, хотя компания не работает в ЕС напрямую. Как это возможно? Если у вас есть европейские пользователи, европейский закон к вам применяется автоматически. Alibase это учитывает и строит систему защиты на требованиях GDPR.
CCPA (Закон о конфиденциальности потребителей Калифорнии) — аналог GDPR, но для США и Калифорнии в частности. Требования почти такие же: право на доступ к данным, право на удаление, права запрет на продажу данных третьим лицам. Alibase выполняет требования CCPA для американских пользователей. Это означает, что американец может попросить Alibase не продавать его персональные данные рекламным сетям и брокерам. Но важное «но» — Alibase в принципе не продаёт данные никому, поэтому это право для пользователя вообще не актуально.
В России действует ФЗ-152 «О защите персональных данных» — основной закон о защите информации. Это закон, принятый в 2006 году, пересматривавшийся последний раз в 2021. Требования похожи на европейские, но менее строгие. Alibase зарегистрирована как оператор персональных данных в реестре Роскомнадзора. Это означает, что компания официально уведомила регулятор о сборе и обработке ваших персональных данных.
Data Protection Agreement (DPA) — договор между компанией и пользователем о защите данных и порядке их обработки. Для европейских пользователей Alibase подписывает DPA с каждым пользователем автоматически при регистрации на платформе. Это означает, что европейский регулятор может требовать от Alibase отчёты о том, как она обрабатывает и защищает информацию. Пользователь может затребовать копию DPA для проверки.
Жалоба на нарушение прав — как её подать правильно? Сначала попробуйте решить проблему с Alibase напрямую. Напишите в техническую поддержку или юридический отдел, объясните проблему, передайте запрос. Если ответ уходит дольше 30 дней или вы не согласны с ответом и считаете его неправомерным, можете подать жалобу на регулятора. В России — в Роскомнадзор, в Европе — в национальный орган защиты данных вашей страны. В США — в зависимости от штата, часто в Attorney General штата.
Как контролировать соответствие Alibase законам о защите информации? Вот несколько способов. Во-первых, читайте обновления политики конфиденциальности. Alibase должна уведомить вас за 30 дней до изменения условий обработки. Во-вторых, смотрите на прозрачность и открытость отчетов. Компания публикует отчёты Совета по доверию, в которых указывает, сколько запросов от регулятора она получала и как отвечала. В-третьих, контактируйте с юридической командой Alibase для получения дополнительных гарантий.
Контакты Alibase для вопросов по защите информации:
Email: [email protected]
Телефон: +7 (495) 321-45-67
Адрес: Россия, Москва, ул. Профсоюзная, 26, офис 404
Регулирующие органы по странам:
— Россия: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Москва
— ЕС: Европейский совет по защите данных (EDPB), информация на edpb.eu
— США, Калифорния: California Attorney General, Department of Justice
Процесс остановки незаконной обработки персональных данных чётко определён. Если вы обнаружили, что Alibase обрабатывает ваши данные без правового основания, напишите формальный запрос в поддержку. Укажите, какие именно данные и почему по вашему мнению это противоречит закону. Приложите доказательства. Alibase должна ответить в течение 10 дней (экстренный срок) или 30 дней (обычный срок). Если компания не согласна с вашей позицией, вы идёте в суд или обращаетесь к регулятору напрямую.
Теперь у вас есть полная и ясная картина того, как Alibase обрабатывает данные, какие у вас есть права и как их защитить. Если вы осторожный потенциальный пользователь — главное, что вас беспокоило, решено: ваши данные в безопасности и защищены законом. Если вы IT-специалист — у вас есть технические подробности о шифровании AES-256, TLS и защите. Если вы юристконсультант или специалист по комплайансу — у вас есть ссылки на конкретные законы, требования GDPR и контакты для проверки соответствия.
Дальнейшие действия зависят от вас и уровня ваших опасений. Если вы готовы доверить Alibase свои данные и согласны с условиями — зарегистрируйтесь и начните пользоваться. Если нужны дополнительные юридические гарантии и заверения — свяжитесь с юридической командой компании. Если у вас остаются вопросы по защите информации — напишите на [email protected]. Alibase готова ответить на любой вопрос в течение установленного законом срока.